Autovermietung Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich

Autor: Claudia Spiess

Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich
Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich

Drei Millionen Kundendatensätze mit über fünf Millionen Dateien der Autovermietung Buchbinder waren für mehrere Wochen für jeden frei zugänglich

Datenleck bei Buchbinder – Das Wichtigste zu Beginn:

  1. Zehn Terabyte große Datenbank mit umfangreichen Datensätzen zurück bis ins Jahr 2003 frei zugänglich
  2. Datenbank inzwischen geschlossen
  3. Was tun, falls eigene Daten betroffen sein könnten

Die zehn Terabyte große Datenbank umfasst neben Adressen und Telefonnummern der Kunden, aber auch Unfallberichte und weitere sensible Daten wie Rechnungen, E-Mails und Verträge seit 2003. Namen, Adressen, Geburtsdaten, Informationen zu Arbeitgebern bei Geschäfts-Buchungen, Telefonnummern, Zahlungsinformationen, Bankverbindungen und E-Mail Adressen sind in der gut filterbaren Datenbank enthalten. Wenigstens waren Kreditkartendaten nicht öffentlich einzusehen. Rund 2,5 Millionen der betroffenen Kunden kommen aus Deutschland, 450.000 aus Österreich.

[mk_ad]

Sogar, wenn man selbst niemals ein Auto bei Buchbinder gemietet hat, könnte es vorkommen, dass seine persönlichen Daten zu finden sind. Nämlich dann, wenn man Unfallgegner, -opfer oder Zeuge eines Unfalls im Zusammenhang mit einem Buchbinder-Fahrzeug war. Betroffen sind scheinbar auch Kunden, die über Vermittlungsportale wie „Car del Mar“ oder „billiger-mietwagen.de“ ein Fahrzeug gemietet hat.

Buchbinder wurde bereits vorab auf das Datenleck hingewiesen

Laut Heise Online wurde das Datenleck durch gemeinsame Recherche des Computermagazins c’t und der Wochenzeitung DIE ZEIT entdeckt. Heise Online nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.
Der Hinweis auf das Datenleck, so Heise, kam vom IT-Sicherheitsexperten Matthias Nehls, der angibt, zwei Mal das Unternehmen direkt auf die Datenpanne aufmerksam zu machen – wie es scheint, ohne Erfolg. Daraufhin beschloss er, sich an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit zu wenden.

Gravierender Verstoß gegen die DSGVO

Verantwortliche müssen nun beantworten, warum offenbar auf die gesamte MSSQL-Datenbank ohne Passwort zugegriffen werden konnte. Auch müssen Fragen bezüglich der DSGVO beantwortet werden, da Datensätze zum Teil bis 2003 zurück aufbewahrt und nicht nach zehn Jahren gelöscht wurden, was datenschutzrechtlich korrekt wäre. Es könnte sich um Verstöße gegen die DSGVO handeln, was ein hohes Bußgeld bedeuten dürfte.

[mk_ad]

Für diejenigen, die die Daten abgreifen konnten, dürfte es nicht mal strafrechtliche Konsequenzen bedeuten, da die Datenbank offen lag und es sich um keinen Hackerangriff handelte. Es war möglich, mit Tools wie z.B. einem Netzwerkscanner die Datenbanken auf fehlende Sicherheitsmaßnahmen zu prüfen und so Zugang zu erhalten.

Inzwischen ist die Datenbank geschlossen. Buchbinder gibt an, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“.

Gelangt man nun an einen Datensatz, wäre das strafrechtlich relevant.

Informationen bekannter Persönlichkeiten enthalten

Auch Personen, die in der Öffentlichkeit stehen, sind betroffen. Datensätze von Politikern, Botschaftsmitarbeitern und Datenschützern sind enthalten. Laut Heise Online ist ein Datensatz des Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail Adresse enthalten. Aber auch Politiker sämtlicher anderer Parteien, Mitarbeiter von Bundesministerien der Polizei und Bundeswehr, ausländischer Botschaften, sogar Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) findet man unter den Betroffenen.

Bin ich betroffen?

Will man herausfinden, ob die eigenen Daten betroffen sind, kann man eine Abfrage an den Anbieter senden. Heise Online hat hierfür eine Vorlage bereitgestellt, die man an Buchbinder übermitteln kann. Bis die betroffenen Datensätze bei Haveibeenpwned oder in der Datenbank des Hasso-Plattner-Instituts einlangen, wird es noch ein wenig dauern.
Sollten die eigenen Daten betroffen sein, wird dringend empfohlen, sämtliche Passwörter zu ändern, Buchungen in Zukunft genauer zu kontrollieren und gegebenenfalls sogar die Telefonnummer wechseln.

Immenser Schaden für Buchbinder

Mit über 160 Mietstationen gehört die Autovermietung Buchbinder zu den größten deutschen Autovermietern und bezeichnet sich selbst als Marktfüher im Privatkunden-Bereich PKW und LKW in Deutschland und Österreich. Seit 2017 ist Buchbinder Mitglied der französischen Europcar-Gruppe.

Mit den erbeuteten Daten stehen die Türen offen für Phishing-Attaken oder auch der Verkauf der Daten. Sofern die Daten noch aktuell sind, können diese für diverse Betrugsszenarien verwendet werden. Abgesehen davon kann der Vorfall für Buchbinder selbst einen enormen Schaden bedeuten. Einerseits leidet das Image darunter, andererseits lassen sich Erträge, Kaufpreise, Unfallhäufigkeit und auch Zahlen zu Verleihvorgängen und Verleihzeiten auslesen. Informationen, die für die gesamte Branche interessant sein können.

Quelle: t3n.de
Artikelbild: Shutterstock / Von Tobias Arhelger
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.